En un importante revés para Netgear, parece que al menos dos de sus routers de gama alta (incluído el Nighthawk) puede contener un problema de seguridad grave de acuerdo con un aviso emitido por el CERT. La vulnerabilidad en sí es increíblemente fácil de aprovechar y simplemente se basa en el acceso a una dirección URL





 El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT), una organización dentro del Departamento de Seguridad Nacional (DHS), ha publicado una alerta de seguridad , advirtiendo a los propietarios del Netgear R6400 y R7000 de los peligros de su uso de sus routers por el momento, por un grave fallo de seguridad. La organización decidió emitir este consejo extremo después de que un usuario apodado "Acew0rm" había publicado el fallo para los dos modelos.

• https://www.kb.cert.org/vuls/id/582384

"La explotación de esta vulnerabilidad es trivial", dijo CERT. "Los usuarios que tengan la opción de hacerlo deben considerar seriamente suspender el uso de los dispositivos afectados hasta que se disponga de una corrección".

Prueba de conpceto:

http://RouterIP/;telnetd$IFS-p$IFS'45'

Abrirá una sesión telnet en el puerto 45

"El CERT / CC actualmente no tiene conocimiento de una solución práctica a este problema y recomienda la siguiente solución", agregó la organización.

Soluciones

Las dos soluciones que propone el CERT es desactivar la administración vía web, es decir, el acceso al panel de control vía internet (WAN) con http:///cgi-bin/;killall$IFS'httpd' o bien dejarlo de usar.

Discontinue use

Exploiting this vulnerability is trivial. Users who have the option of doing so should strongly consider discontinuing use of affected devices until a fix is made available

Netgear Firmware

El fabricante ya tiene disponble un firmware no vulnerable para los modelos:

• R6400
• R7000
• R8000

• http://kb.netgear.com/000036386/CVE-2016-582384

Exploit se basa en una falla de seguridad e ingeniería social

Modelos Vulnerables

• Netgear R6400 with firmware version 1.0.1.6_1.0.4 (and possibly earlier)
• Netgear R7000 Nighthawk with firmware version 1.0.7.2_1.1.93 (and possibly earlier)

• R6400 (AC1750): confirmed
• R7000 Nighthawk (AC1900, AC2300): confirmed (by myself)
• R7500 Nighthawk X4 (AC2350): confirmed (by [2])
• R7800 Nighthawk X4S(AC2600): confirmed (by [2])
• R8000 Nighthawk (AC3200): confirmed
• R8500 Nighthawk X8 (AC5300): confirmed (by [2])
• R9000 Nighthawk X10 (AD7200): confirmed (by [2])

Netgear R7000 (versión de firmware 1.0.7.2_1.1.93 y posiblemente anterior) y R6400 (versión de firmware 1.0.1.6_1.0.4 y posiblemente anterior) son vulnerables, pero CERT dijo que otros modelos de enrutador podrían verse afectados.

El exploit es trivial, como dijeron los expertos de la organización, y se basa en convencer a un propietario de router para que acceda a una URL en forma de:

http:///cgi-bin/;COMMAND

Un atacante puede esconder la hazaña detrás de las URL acortadas, lo que aumentaría considerablemente la posibilidad de engañar al propietario de un enrutador al hacer clic en el vínculo.

Una vez que esto suceda y el router del usuario procesa la URL, el comando al final del enlace se ejecuta en el enrutador. Este tipo de vulnerabilidad se conoce como inyección de comandos. El fallo puede llevar a una completa toma de control del router

Basado en la habilidad del atacante, puede hacerse cargo del router del usuario completamente.

Debido a que no hay mitigación o solución, CERT espera que los propietarios de router tengan en cuenta sus consejos y eviten una situación en la que un operador de botnet refuerza sus números con nuevos zombis fabricados con routers Netgear R6400 y R7000.

En las últimas dos semanas, los delincuentes de botnet han utilizado vulnerabilidades para hacerse cargo de los módems Eir D1000, Zyxel AMG1302 y D-Link DSL-3780 de la infraestructura de Deutsche Telekom en Alemania y TalkTalk y Oficina Postal en el Reino Unido. El operador de una rama de botnet Mirai ha tomado crédito por estos secuestros y afirmó que tenía secuestrados a más de 3 millones de dispositivos.

Firmware Alternativos

Otra posible solución menos drástica sería usar un firmware personalizado no vulnerable:

• https://advancedtomato.com/
• DD-WRT (www.dd-wrt.com/site/index)

Fuentes:
https://www.bleepingcomputer.com/news/security/cert-warns-users-to-stop-using-two-netgear-router-models-due-to-security-flaw/
https://www.kb.cert.org/vuls/id/582384
http://www.sj-vs.net/a-temporary-fix-for-cert-vu582384-cwe-77-on-netgear-r7000-and-r6400-routers/